趙爽 馬陟

摘要：為實現(xiàn)核電工控系統(tǒng)信息安全防護，提出了一種使用密碼應(yīng)用的研究方法。論文首先介紹了國家工控系統(tǒng)信息安全密碼應(yīng)用前景和常用密碼技術(shù)，然后闡述了核電工控系統(tǒng)密碼應(yīng)用框架與思路，最后結(jié)合本研究的特點做了總結(jié)。

關(guān)鍵詞：核電；工控系統(tǒng)；密碼應(yīng)用

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2018）04-0035-02

1 概述

2015年3月，中共中央辦公廳、國務(wù)院辦公廳聯(lián)合發(fā)布《關(guān)于加強重要領(lǐng)域密碼應(yīng)用的指導(dǎo)建議》，強調(diào)充分認識加強重要領(lǐng)域密碼應(yīng)用的重要性和緊迫性，其中重要領(lǐng)域就包括了重要工業(yè)控制系統(tǒng)。要求電力系統(tǒng)、水利樞紐等重要工業(yè)控制系統(tǒng)將國產(chǎn)密碼應(yīng)用納入信息化建設(shè)整體規(guī)劃；實現(xiàn)國產(chǎn)密碼在數(shù)據(jù)采集與監(jiān)控系統(tǒng)、分布式控制系統(tǒng)、過程控制系統(tǒng)、可編程邏輯控制器等工業(yè)控制系統(tǒng)中的深度應(yīng)用。

目前，我國工業(yè)控制系統(tǒng)商用密碼應(yīng)用在智能電網(wǎng)領(lǐng)域得到快速發(fā)展，而在同屬電力行業(yè)的核電發(fā)電領(lǐng)域還有待進一步推進。

核電集團作為國家關(guān)鍵基礎(chǔ)設(shè)施企業(yè)，其工業(yè)控制系統(tǒng)的面臨的信息安全威脅不容忽視。為落實國家對工業(yè)控制系統(tǒng)的相關(guān)要求，加強核電行業(yè)工業(yè)控制系統(tǒng)信息安全工作，采用密碼技術(shù)解決核電工控系統(tǒng)信息安全問題是大勢所趨。

然而，我國核電工控系統(tǒng)在設(shè)計之初較少考慮信息安全，更沒有應(yīng)用很多密碼技術(shù)。如果想要將密碼技術(shù)應(yīng)用到核電工控系統(tǒng)中，一種方法是在工控網(wǎng)絡(luò)中串接密碼機為通信的消息進行加密、解密操作，但是會嚴(yán)重影響工控系統(tǒng)的實時性，這往往是不可接受的；另一種方式是通過在核電控制器和儀器、儀表等設(shè)備中嵌入密碼芯片，通過硬件機制高效完成密碼應(yīng)用。

現(xiàn)有的核電工控系統(tǒng)較少使用密碼技術(shù)，只普遍采用CRC算法校驗數(shù)據(jù)和文件的完整性，使用MD5校驗超大文件的完整性。但對于敏感文件和數(shù)據(jù)流的保密性保障不足，所以根據(jù)資產(chǎn)的安全級別，需要分別采用合適的國產(chǎn)密碼算法代替。例如，現(xiàn)場控制與過程監(jiān)控層以及過程監(jiān)控層向上傳輸?shù)臄?shù)據(jù)流，操作員站以及工程師站上的敏感文件等。

2 密碼應(yīng)用技術(shù)體系

密碼是按特定法則編成，用以對通信雙方的信息進行明密變換的符號。換而言之，密碼是隱蔽了真實內(nèi)容的黑客密碼符號序列。就是把用公開的、標(biāo)準(zhǔn)的信息編碼表示的信息通過一種變換手段，將其變?yōu)槌ㄐ烹p方以外其他人所不能讀懂的信息編碼，這種獨特的信息編碼就是密碼。密碼算法提供安全性服務(wù)包括：保密性服務(wù)、完整性服務(wù)、驗證服務(wù)、非否認服務(wù)。常用的密碼算法有對稱密鑰加解密算法、非對稱密鑰加解密算法、單向散列算法等。

2.1 國產(chǎn)密碼算法概述

為了保障商用密碼安全，國家商用密碼管理辦公室制定了一系列密碼標(biāo)準(zhǔn)。包括SSF33、SM1、SCB2、SM2、SM3、SM4、SM7、SM9、祖沖之密碼算法那等等。其中SSF33、SM1、SM4、SM7、祖沖之密碼是對稱算法，SM2、SM9是非對稱算法，SM3是哈希算法。目前已經(jīng)公布算法文本的包括祖沖之序列密碼算法、SM2橢圓曲線公鑰密碼算法、SM3密碼雜湊算法、SM4分組密碼算法等。

2.2 密鑰管理流程概述

密鑰管理包括，從密鑰的產(chǎn)生到密鑰的銷毀的各個方面。主要表現(xiàn)于管理體制、管理協(xié)議和密鑰的產(chǎn)生、分配、更換和注入等。對于軍用計算機網(wǎng)絡(luò)系統(tǒng)，由于用戶機動性強，隸屬關(guān)系和協(xié)同作戰(zhàn)指揮等方式復(fù)雜，因此，對密鑰管理提出了更高的要求。

2.3 核電工控系統(tǒng)密碼應(yīng)用概述

密碼可以為核電工控系統(tǒng)提供或增強身份認證、消息認證、存儲加密以及安全事件追溯的能力。

密碼應(yīng)用中需要注意的一些問題：

（1） 加解密過程以及加密使消息變大對工控系統(tǒng)實時性有影響，一般鏈路密碼機方式帶來的延時為數(shù)十毫秒級，嵌入式方式帶來的延時為毫秒級。

（2） 不能對消息和地址都進行加密，使得消息不可能路由在多點網(wǎng)絡(luò)。

（3） 密碼技術(shù)引入密鑰管理問題，也需要周期性的密鑰更換。一個比較有效的防護是引入一套完整、成熟的密鑰管理系統(tǒng)。

核電工控密鑰管理系統(tǒng)，需要符合核電工控系統(tǒng)實時性要求，可視化管理以及方便管理，要支持多種國產(chǎn)密碼算法。負責(zé)對工控系統(tǒng)密鑰產(chǎn)生、密鑰分發(fā)、密鑰存儲、密鑰更新、密鑰銷毀、密鑰使用等過程的管理，密鑰管理系統(tǒng)具有對稱密鑰、非對稱密鑰的管理功能，同時能實現(xiàn)證書的生產(chǎn)、發(fā)放等功能。

對稱密碼算法需要管理有效的密鑰發(fā)布機制和有效的密鑰管理辦法；非對稱加密算法的管理則依賴于公鑰基礎(chǔ)設(shè)施PKI和密鑰管理基礎(chǔ)設(shè)施KMI；散列函數(shù)一般不需要特定的管理。

3 核電工控系統(tǒng)密碼應(yīng)用框架與思路

下文針對典型核電項目非安全級數(shù)字化DCS控制系統(tǒng)架構(gòu)，描述了密碼在核電工控系統(tǒng)中的應(yīng)用框架。圖1為非安全級數(shù)字化DCS控制系統(tǒng)架構(gòu)圖。

非安全級數(shù)字化DCS控制系統(tǒng)設(shè)計上遵循可靠性、可維護性、完整性與安全性等基本原則。核電應(yīng)用系統(tǒng)架構(gòu)為傳統(tǒng)的四層結(jié)構(gòu)。DCS 范圍在1 層和2 層之中，并包括與0 層，3 層，第三方儀控系統(tǒng)的接口設(shè)備。

l 0 層：工藝系統(tǒng)接口層，包括測量設(shè)備（如傳感器、變送器、限位開關(guān)等）和執(zhí)行器接口設(shè)備（先導(dǎo)閥及附屬接口繼電器、電動-氣動轉(zhuǎn)換器，執(zhí)行裝置，開關(guān)柜等）。

l 1 層：自動控制和保護層，包括信號采集，調(diào)制和處理設(shè)備，負責(zé)不同電廠系統(tǒng)的監(jiān)控。

l 2 層：操縱和信息管理層。包括可以使人員能夠操縱電廠（手動控制和信息手段），監(jiān)督電廠狀態(tài)，并對I&C 實施運行服務(wù)的常規(guī)設(shè)備和計算機設(shè)備。

l 3 層：全廠技術(shù)管理層，包括支持現(xiàn)場管理應(yīng)用以及場外設(shè)施通訊的計算機設(shè)備。

在此系統(tǒng)架構(gòu)中，現(xiàn)場控制站根據(jù)功能、分區(qū)和安全等級的不同分布在不同的房間內(nèi)，所有控制站間的通訊連接均采用RJ45 或光纖跳線進行連接。序列A 和序列B網(wǎng)絡(luò)在結(jié)構(gòu)上獨立，分別連接各自的現(xiàn)場控制站，并通過兩個網(wǎng)絡(luò)之間的通訊接口進行數(shù)據(jù)交換。網(wǎng)絡(luò)機柜和網(wǎng)絡(luò)設(shè)備均達到安全設(shè)備等級要求，從而保證整個網(wǎng)絡(luò)的安全等級符合要求。一層控制網(wǎng)絡(luò)為基于HOLLiAS-N 系列平臺現(xiàn)場控制站提供通訊接口，二層信息網(wǎng)絡(luò)為工作站提供通訊接口。實時服務(wù)器作為一層和二層之間的數(shù)據(jù)橋梁，為二層提供顯示和相關(guān)計算的實時數(shù)據(jù)。

密碼在核電工控系統(tǒng)中的應(yīng)用主要體現(xiàn)在身份認證、消息認證、數(shù)據(jù)加密和安全事件追溯上。

身份認證體現(xiàn)在現(xiàn)場監(jiān)控層人員對于監(jiān)控主機和服務(wù)器進行操作時，必須進行的身份驗證過程，授權(quán)或禁止操作人員的行為以及保證操作的不可抵賴性。

消息認證體現(xiàn)在現(xiàn)場控制層與現(xiàn)場設(shè)備層對于下達的控制指令的源，必須進行合法性驗證的過程，并且保證了消息的完整性。

數(shù)據(jù)加密體現(xiàn)在權(quán)限管理服務(wù)器上對于人員賬號信息的保密性管理，以及工程師站上總要系統(tǒng)參數(shù)、配置信息、組態(tài)程序的完整性保障。

安全事件追溯體現(xiàn)在根據(jù)操縱者的數(shù)據(jù)簽名，結(jié)合時間戳可以準(zhǔn)確查找到安全事件責(zé)任人和相關(guān)資源。

關(guān)于算法的選取，核電工控系統(tǒng)監(jiān)控網(wǎng)絡(luò)的傳輸加密應(yīng)采用國產(chǎn)輕量級對稱加密算法；可采用公鑰密碼模塊中的公鑰密碼算法完成分組密碼算法中會話密鑰的安全分發(fā)或完成對明文摘要的數(shù)字簽名和認證。

存儲加密采用國產(chǎn)對稱加密算法和雜湊算法。

除此之外，核電工控系統(tǒng)用戶的身份認證和VPN技術(shù)也應(yīng)采用國產(chǎn)加密算法。

4 結(jié)論

本文提出了在核電工控系統(tǒng)典型環(huán)境下實施密碼技術(shù)的框架及思路，為密碼技術(shù)進一步服務(wù)于核電工控系統(tǒng)信息安全防護指明道路。電力行業(yè)其他發(fā)電企業(yè)也可借鑒此思路，在設(shè)計階段就充分考慮到結(jié)合密碼技術(shù)的信息安全防護。

參考文獻：

[1] IEC62443《工業(yè)過程測量、控制和自動化網(wǎng)絡(luò)與系統(tǒng)信息安全》

[2] 黃愷，彤劉曄. 國產(chǎn)密碼算法在電網(wǎng)信息安全中的應(yīng)用研究[J].信息安全與通信保密，2015（10）.